Уважаемые господа! В первую очередь разработчики!<br>
<br>
Во-первых, хочется обратить внимание, что список рассылки
Security-announce мёртв. Последние сообщения в нём (согласно
<a href="http://lists.altlinux.org/pipermail/security-announce/">http://lists.altlinux.org/pipermail/security-announce/</a> ) датируются
маем этого года. С тех пор вышло огромное количество исправлений
критических ошибок, но пользователи не были уведомлены.<br>
<br>
На мой взгляд такая ситуация недопустима. <br>
<br>
Скажу более, ситуация с ошибкой 8294 из Багзиллы (выполнение
произвольного кода из под другого пользователя путём изменения
раскладки клавиатуры), когда ошибка не была исправлена в течении
месяца, несмотря на скорый выход исправления в Mainstream так же
недопустима.<br>
<br>
Недавно в СПбГУ приезжал дяденька из Microsoft, который, приводя
подобные примеры из различных дистрибутивов Linux, рассказывал о
существенных проблемах безопасности модели разработки OpenSource
дистрибутивов.<br>
<br>
С глубочайшим сожалением, несмотря на долгие споры с тем господином,
должен заметить, что он кое в чём был прав. Редмондская компания по
крайней мере выпускает бюллетени и апдейты. Которые чаще всего выходят
в срок. Об исправленных уязвимостях они сообщают пользователям,
подписавшимся на рассылку. (Всё, щас заклюют:) Желающим могу дать
полученные мной от него статистические материалы на проверку.<br>
<br>
На мой взгляд, дистрибутив, продаваемый в коробке, не должен быть
уделом только хакеров. Человек, купивший и поставивший его на сервер
должен быть в курсе проблем с безопасностью и получать вовремя updates.<br>
<br>
Замечу ещё, что по-умолчанию в sources.list прописан для Мастера
репозиторий contribs, содержащий пакеты, дающие локальным пользователям
права root. (<a href="https://bugzilla.altlinux.org/show_bug.cgi?id=8588">https://bugzilla.altlinux.org/show_bug.cgi?id=8588</a>)<br>
ALTLinux не поддерживает исправления безопасности для contribs, но
пользователь в системе по-умолчанию может поставить оттуда пакеты, так
и не поняв, откуда именно он поставил пакеты, почему этого нельзя
делать и что он выкопал себе могилу.<br>
<br>
Мне кажется, что необходимо изменить сложившуюся ситуацию, пусть и при помощи уменьшения числа пакетов.<br>
Сообщество должно быть заинтерисовано в качественном программном продукте.<br>